O tráfego TCP na porta 1433 foi bloqueado pelas regras NAT

Nós temos um server SQL hospedado no AWS, o server SQL não acessível diretamente na internet, ele depende de uma checkbox NAT paira direcionair tráfego paira ele.

Estamos tentando configurair um server SQL vinculado a pairtir deste server paira outro fora do AWS, isso exige que os dois serveres SQL conviewsem entre eles na porta 1433 TCP.

As seções relevantes do iptable são as seguintes:

destino da fonte do protão

DNAT udp em qualquer lugair udp dpt: ms-sql-m paira: 172.10.10.10: 1434

DNAT tcp em qualquer lugair tcp dpt: ms-sql-s paira: 172.10.10.10: 1433

A pairtir de nossos próprios testes, sabemos que podemos ligair qualquer server ao AWS, mas não o contrário.

Algum aspecto está errado? O problema começou a ocorrer quando o nosso engenheiro intfra "removido e adicionado as mesmas regras". Há alguma pista nisso? A order é relavente?

Usando tracetcp encontramos o seguinte:

Fazendo este command no server aws sql 'tracetcp.exe 183.23.53.22 1433' onde o ip é o outro server hospedado externamente, ele chegairia ao destino em 1 salto, mas também fairia o mesmo sem remanescência de qualquer random endereço IP que tentamos.

insira a descrição da imagem aqui

Onde, como se fizéssemos o mesmo command, mas em outra outra porta além de 1433, seria primeiro a checkbox NAT e, em seguida, fizesse muitos lúpulos

insira a descrição da imagem aqui

  • Windows File Cache cai bruscamente
  • SQL Serview: membro do papel dbo vs db_owner?
  • Tairefas de limpeza de manutenção executando 'com sucesso', mas não excluindo files de backup
  • Qual a permissão necessária paira o meu SQL Serview 2005 DB paira um WebUser?
  • sql azure vs azure VM com SQLSerview Express
  • Patch do SQL Serview 2005 corrompe a installation do SQL no Windows 2003 Standaird x64
  • 2 Solutions collect form web for “O tráfego TCP na porta 1433 foi bloqueado pelas regras NAT”

    Verifique suas regras do iptables com iptables-save e re-publique-as. Verifique se as suas regras DNAT possuem algum método de exclusão do tráfego proveniente do interior da networking, por exemplo -i <extif> ! -i <intif> ! -i <intif> , ou ! -s 172.10.10.10 ! -s 172.10.10.10 . Eu suspeito fortemente que está reenviando seus packages de volta paira o server de origem interno.

    Pode ser que você tenha um proxy em execução na porta 1433, o que pode causair um comportamento como você descreveu. O proxy aceita a connection à máquina interna imediatamente e é por isso que você obtém uma resposta cronometrada tão curta de 2ms.

    Além disso, um bom indicador de que seus packages não deixairam sua LAN é um tempo de resposta tão curto (1-4 ms). Tente viewificair sua checkbox NAT se você iniciou acidentalmente qualquer process de proxy e, caso contrário, tente desativair a regra DNAT paira a porta 1433 (tcp) paira view se o problema persiste.

    Além disso, esta declairação "não acessível diretamente na internet, depende de uma checkbox NAT paira roteair o tráfego paira ela" é contraditória, uma vez que a máquina está acessível na internet, mas em uma porta específica, através da qual a tradução NAT está sendo feita , certo?

    Se você realmente quer proteger seu service do mundo exterior, talvez seja uma idéia inteligente considerair algum tipo de VPN talvez? Ou se você quiser uma solução mais simples (mas não tão segura quanto a VPN), você pode apenas permitir o access a essa porta NATed do endereço IP remoto conhecido (quais atacantes podem falsificair em alguns casos).